JPMorgan Chase’deki Kıdemli Bilgi Güvenliği Yöneticisi, yazılım endüstrisini güvenli kalkınma uygulamalarına piyasaya sürmeye öncelik vermeye çağırıyor ve artan tedarik zinciri kesintilerinin küresel ekonomik sistemi zayıflattığını söyledi.
Patrick Opet, JPMorgan Chase’de Global Ciso, Cuma günü açık bir mektupta uyarıldı Küresel şirketlerin birbirine bağlı teknolojilere bağımlı olduklarını ve yazılımın varsayılan olarak güvenli olması gerektiği konusunda uyardı.
Opet, küresel şirketlerin hizmet olarak az sayıda yazılım sağlayıcıya giderek daha fazla bağımlı oldukları için, bir hack veya başka bir bozulmanın dünyadaki kritik altyapı sağlayıcılarını bozabileceğini söyledi.
Opet, JPMorgan Chase yetkililerinin uyarı işaretlerini yakından gördüklerini söyledi.
Opet, “Son üç yılda, üçüncü taraf sağlayıcılarımız çevrelerinde bir dizi olay yaşadı” diye yazdı. “Tedarik zincirimizdeki bu olaylar, belirli uzlaşmış sağlayıcıların izole edilmesi ve azaltmayı tehdit etmek için önemli kaynakları adamak da dahil olmak üzere hızlı ve kararlı bir şekilde hareket etmemizi gerektirdi.”
JPMorgan Chase, 2024’te 451.800’den fazla kişiyi etkileyen üçüncü taraf bir yazılım sorununu açıkladı. Maine Başsavcılığı ile yapılan bir dosyalama göre. Kusur, üç çalışanın emeklilik planı katılımcılarının belirli kayıtlarını görmesine izin verdi.
Banka karşılaştı Temmuz 2024 Uluslararası BT kesintisi nedeniyle ticaret kesintileri Bloomberg’e göre hatalı bir Crowdstrike yazılım yükseltmesi tarafından oluşturuldu. Kesinti 8,5 milyon pencere cihazının başarısız olmasına neden olduHavayolu endüstrisinde, sağlık hizmetleri, finansal hizmetler ve diğer kritik endüstrilerde yaygın aksamalara yol açar.
OPET, OATH gibi modern kimlik protokolleri, üçüncü taraf hizmetler ve şirketlerde hassas iç kaynaklar arasında doğrudan bağlantılar yaratıyor ve bu da mektupta belirtilen OPET, saldırganların gizli verilere veya dahili iletişimlere erişmesini kolaylaştırıyor.
Tehdit aktörleri, hassas belgelere erişim ve sistemleri bozma yöntemi olarak üçüncü taraf teknoloji sağlayıcılarını giderek daha fazla hedefliyor. Opet, Çin bağlantılı casusluk grubu ipek typhoon’un hedef ağlara ilk erişim elde etmek için uzaktan erişim araçlarını ve bulut uygulamalarını kötüye kullanma çabaları hakkında bir Mart blog yazısından bahsetti.
Opet, Mektubu San Francisco’daki yıllık RSAC Konferansı’nın arifesinde yazdı ve burada siber güvenlik endüstrisinin 45.000’den fazla üyesinin yazılım güvenliği gibi basın sorunlarını tartışması planlandı.
Opet, gelişmiş güvenlik standartlarını ve tedarikçilerin ayrıcalıklı erişimi nasıl kullandıkları konusunda daha fazla şeffaflık görmek istediğini söyledi. Ayrıca, tedarikçiler hassas bilgiler kullandıklarında gizli bilgi işlem gibi teknolojilerin riskleri azaltabileceğini söyledi.
“Bugün risklerin kritikliğini tanımak ve toplu olarak bir dizi cephede birlikte çalışmak için yazılım endüstrisini arıyoruz ”dedi.
Opet’in mektubu, eski siber güvenlik ve altyapı güvenlik ajansı direktörü Jen Easterly’den yazılım endüstrisinin güvenli tasarım ilkelerini kucaklaması için yeni bir çağrıyı yansıtıyor.
Yazılım güvenlik liderleri mektubu memnuniyetle karşıladı, ancak bazıları potansiyel yasal sorumluluk da dahil olmak üzere daha zorlu önlemler için tartıştı.
Sonatype’de kurucu ortağı ve CTO, Brian Fox, “Hiçbir tarafın tüm yazılımı yukarı ve aşağı yönde inşa etmediği için kötü aktörlerin sömürülmesi için fırsatlar yarattığı için benzersiz bir şekilde savunmasızdır” dedi.